Trojaner erwischt - isfmdl.dll werde ich nicht los

#1 Hallo Ihr Guten,

mich hat so ein Mistvieh erwischt und ich vermute das Hauptproblem ist der "isfmdl.dll".

Hier das logfile von combofix:
ComboFix 08-01-15.4 - Familie Hofmann 2008-01-15 21:37:12.1 - NTFSx86
ausgeführt von:: C:\Programme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\install_en[1].exe
C:\Dokumente und Einstellungen\Familie Hofmann\ResErrors.log
C:\Programme\Helper
C:\Programme\Helper\turbosearchsite.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-15 21:36 . 2008-01-15 21:36 1,551,537 --a------ C:\Programme\ComboFix.exe
2008-01-15 21:36 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 21:34 . 2008-01-15 21:34 50,688 --a------ C:\Programme\ATF-Cleaner.exe
2008-01-15 21:17 . 2008-01-15 21:17 5,831,160 --a------ C:\Programme\rminstall.exe
2008-01-11 23:07 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-11 22:37 . 2008-01-11 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2008-01-11 22:35 . 2007-12-26 16:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-11 22:35 . 2007-12-26 16:17 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-11 22:30 . 2008-01-11 22:30 1,092 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-11 22:29 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-11 22:29 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-11 22:29 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-11 22:29 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-11 22:29 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-11 22:29 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-06 12:21 . 2008-01-06 12:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SITEguard
2008-01-06 12:17 . 2008-01-06 12:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iS3
2008-01-06 12:17 . 2008-01-06 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STOPzilla!
2008-01-06 11:34 . 2008-01-06 11:34 <DIR> d--hs---- C:\WinSecureAv
2008-01-06 11:30 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\VirusRanger
2008-01-06 11:30 . 2008-01-06 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\WinSecureAv
2008-01-06 11:29 . 2008-01-06 11:29 46,592 --a------ C:\WINDOWS\system32\drivers\dhlp.sys
2008-01-06 11:28 . 2008-01-06 12:04 <DIR> d-------- C:\Programme\WinSecureAv
2008-01-06 11:28 . 2008-01-06 11:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WinSecureAv
2008-01-06 11:28 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-01-06 11:28 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-06 11:28 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-06 11:28 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-01-06 11:28 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-01-06 11:17 . 2008-01-11 23:18 <DIR> d-------- C:\Programme\VirusProtect 3.9
2008-01-06 11:17 . 2008-01-06 12:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-06 11:15 . 2008-01-15 20:55 <DIR> d-------- C:\Programme\Online Add-on
2008-01-03 14:04 . 2008-01-03 14:07 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-03 13:47 . 2001-08-17 14:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-03 12:35 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\KODAK
2008-01-03 12:34 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\CASIO
2007-12-28 20:15 . 2007-12-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2007-12-28 20:13 . 2004-11-25 06:07 79,679 --a------ C:\WINDOWS\system32\E_FLMACE.DLL
2007-12-28 20:13 . 2003-05-21 03:27 64,000 --a------ C:\WINDOWS\system32\E_FBCBACE.DLL
2007-12-28 20:13 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-12-28 20:13 . 2000-06-07 02:01 34,304 --a------ C:\WINDOWS\system32\E_FBCHACE.DLL
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-12-28 20:11 . 2007-12-28 20:17 <DIR> d-------- C:\Programme\epson
2007-12-28 20:11 . 2005-02-25 00:00 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
2007-12-28 20:11 . 2005-02-25 00:00 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
2007-12-28 20:11 . 2005-02-25 00:00 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
2007-12-28 20:11 . 2007-12-28 20:11 27 --a------ C:\WINDOWS\CDE DX3800G.ini
2007-12-28 19:08 . 2007-12-28 19:09 <DIR> d--h-c--- C:\WINDOWS\$MSI30UninstallMSI30-KB884016$
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-12-27 18:52 . 2007-12-27 18:52 66,904 --a------ C:\WINDOWS\system32\NULL
2007-12-27 18:51 . 2007-12-27 18:51 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2007-12-27 18:38 . 2007-12-27 18:40 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 18:36 . 2007-12-27 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-27 18:36 . 2007-03-06 18:42 430,080 --a------ C:\WINDOWS\system32\SIPPS_TAPI_Provider.tsp
2007-12-27 18:35 . 2007-12-27 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\T-Online
2007-12-27 18:35 . 2005-02-01 11:25 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-12-27 18:34 . 2007-12-27 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2007-12-27 18:33 . 2007-12-27 18:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-12-27 18:32 . 2007-12-27 18:33 <DIR> d-------- C:\Programme\T-Online
2007-12-27 18:32 . 2008-01-03 12:35 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-12-27 18:31 . 2007-12-27 18:31 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-27 18:31 . 2007-12-28 20:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-27 18:30 . 2007-12-27 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\WINDOWS\Profiles
2007-12-27 18:25 . 2007-12-27 18:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\InterTrust
2007-12-26 19:25 . 2007-12-26 19:25 400 --a------ C:\WINDOWS\ODBC.INI
2007-12-26 19:24 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-12-26 19:22 . 2007-12-26 19:22 <DIR> d-------- C:\Programme\Microsoft.NET
2007-12-26 19:20 . 2007-12-26 19:22 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-12-26 19:20 . 2007-12-26 19:20 <DIR> d-------- C:\Programme\Microsoft Works
2007-12-26 19:17 . 2007-12-26 19:17 <DIR> dr-h----- C:\MSOCache
2007-12-26 19:07 . 2007-12-26 19:07 <DIR> d-------- C:\NVIDIA
2007-12-26 19:04 . 2007-12-26 19:04 <DIR> d-------- C:\Programme\SystemRequirementsLab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 16:55 13,312 --s-a-w C:\WINDOWS\system32\fsehfcu.dll
2007-12-26 15:37 --------- d-----w C:\Programme\microsoft frontpage
2007-12-26 15:33 --------- d-----w C:\Programme\Online-Dienste
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-26 15:03 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}]
2008-01-15 20:55 12288 --a------ C:\Programme\Online Add-on\isfmdl.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F2BADA0D-FD61-45EF-A994-64A073FD6613}"= C:\Programme\Online Add-on\ictmdl.dll [2008-01-06 11:15 73728]

[HKEY_CLASSES_ROOT\clsid\{f2bada0d-fd61-45ef-a994-64a073fd6613}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryMechanic"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2008-01-03 12:34:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"start"= C:\Programme\Online Add-on\isfmntr.exe

R0 dhlp;dhlp;C:\WINDOWS\System32\Drivers\dhlp.sys [2008-01-06 11:29]
R1 VIAPFD;VIAPFD;C:\WINDOWS\System32\Drivers\VIAPFD.SYS [2001-12-04 14:06]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 21:40:03
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 21:40:59
ComboFix-quarantined-files.txt 2008-01-15 20:40:44

und nun Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:33, on 15.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Online Add-on\isfmntr.exe
C:\Programme\Online Add-on\isfmm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Familie Hofmann\Eigene Dateien\ich\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - C:\Programme\Online Add-on\isfmdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Online Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 2257 bytes



und nun noch von datfind:

15.01.2008 21:40 227 system.ini
15.01.2008 20:59 1.057 IE4 Error Log.txt
15.01.2008 20:55 0 0.log
15.01.2008 20:55 123.385 WindowsUpdate.log
15.01.2008 20:55 50 wiaservc.log
15.01.2008 20:55 159 wiadebug.log
15.01.2008 20:55 2.048 bootstat.dat
11.01.2008 23:21 282.678 ntbtlog.txt
11.01.2008 23:13 13.868 SchedLgU.Txt
11.01.2008 20:45 237.184 setupapi.log
03.01.2008 14:07 69 NeroDigital.ini
30.12.2007 15:01 39.586 wmsetup.log
28.12.2007 20:12 114.867 EPSTPLOG.TXT
28.12.2007 20:12 31 EPSMTL32.TXT
28.12.2007 20:11 27 CDE DX3800G.ini
28.12.2007 20:11 1.115 epsswt_log.txt
28.12.2007 19:10 56.255 iis6.log
28.12.2007 19:10 17.737 comsetup.log
28.12.2007 19:10 8.981 ntdtcsetup.log
28.12.2007 19:10 12.984 tsoc.log
28.12.2007 19:10 1.393 imsins.log
28.12.2007 19:10 5.297 MSI30-KB884016.log
28.12.2007 19:10 1.277 ocmsn.log
28.12.2007 19:10 15.297 ocgen.log
28.12.2007 19:10 1.128 msgsocm.log
28.12.2007 19:10 17.719 FaxSetup.log
28.12.2007 19:10 12.004 msmqinst.log
27.12.2007 18:52 241 wmsetup10.log
27.12.2007 18:52 628 win.ini
27.12.2007 18:51 316.640 WMSysPr9.prx
26.12.2007 19:25 400 ODBC.INI
26.12.2007 19:00 355 WINNT32.LOG
26.12.2007 19:00 175.673 setupact.log
26.12.2007 18:57 2.757 svcpack.log
26.12.2007 16:47 820 OEWABLog.txt
26.12.2007 16:47 711.564 setuplog.txt
26.12.2007 16:45 8.192 REGLOCS.OLD
26.12.2007 16:43 4.438 imsins.BAK
26.12.2007 16:41 1.246 setuperr.log
26.12.2007 16:36 0 control.ini
26.12.2007 16:36 299.552 WMSysPrx.prx
26.12.2007 16:36 4.161 ODBCINST.INI
26.12.2007 16:35 240 Windows Update.log
26.12.2007 16:34 749 WindowsShell.Manifest
26.12.2007 16:31 1.060 sessmgr.setup.log
26.12.2007 16:30 36 vb.ini
26.12.2007 16:30 37 vbaddin.ini
26.12.2007 16:30 128 DtcInstall.log
26.12.2007 16:22 0 Sti_Trace.log
26.12.2007 16:18 1.348 regopt.log
18.08.2001 11:00 13.898 SET7.tmp

Danke für Tipps,
Steffen

#2 Steffmann

Hinweis !!!
http://board.protecus.de/t31653.htm

---------------------------------------------------------

1.
http://www.virus-protect.org/artikel/tools/agentransack.html
gib in Suche ein:

Online Add-on

VirusProtect 3.9

WinSecureAv

VirusRanger

im unteren linken Teil vom Fenster werden die gefundenen Dateien erscheinen
poste, was erscheint hier

--------

««
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Online Add-on

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusProtect 3.9

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

WinSecureAv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusRanger

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

--------

dann machen wir das im Handumdrehen sauber
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo Pinguin!

Hier die logfiles von regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.01.2008 20:37:58 for strings:
; 'online add-on'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}\InprocServer32]
@="C:\\Programme\\Online Add-on\\isfmdl.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F2BADA0D-FD61-45EF-A994-64A073FD6613}\InprocServer32]
@="C:\\Programme\\Online Add-on\\ictmdl.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"start"="C:\\Programme\\Online Add-on\\isfmntr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Custom Tools]
"UninstallString"="\"C:\\Programme\\Online Add-on\\ictun.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Safety Features]
"UninstallString"="\"C:\\Programme\\Online Add-on\\isfun.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center]
"UninstallString"="\"C:\\Programme\\Online Add-on\\icun.exe\""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log]
; Contents of value:
; `º°MÈWÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\
01

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\log]
; Contents of value:
; `º°MÈWÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\
01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log]
; Contents of value:
; `º°MÈWÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\ONLINE ADD-ON"=hex:60,ba,b0,4d,c8,57,c8,\
01

[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"4"="Online Add-on"
"5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger"

[HKEY_CURRENT_USER\Software\Online Add-on]

[HKEY_CURRENT_USER\Software\Online Add-on]
"Path"="C:\\Programme\\Online Add-on"

; End Of The Log...


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.01.2008 20:40:55 for strings:
; 'virusprotect 3.9'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CFAFA83C-855B-4E3D-92B9-A587995B675A}\1.0\0\win32]
@="C:\\Programme\\VirusProtect 3.9\\VirusProtect 3.9.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CFAFA83C-855B-4E3D-92B9-A587995B675A}\1.0\HELPDIR]
@="C:\\Programme\\VirusProtect 3.9\\"

[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"3"="VirusProtect 3.9"
"5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusProtect 3.9]

; End Of The Log...


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.01.2008 20:42:09 for strings:
; 'winsecureav'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D761645B-6B20-4698-AEE8-729981152A82}\1.0\0\win32]
@="C:\\Programme\\WinSecureAv\\Tools\\sbiebho.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D761645B-6B20-4698-AEE8-729981152A82}\1.0\HELPDIR]
@="C:\\Programme\\WinSecureAv\\Tools\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EA7522F6-87CF-411E-8A55-19EE4344B676}\1.0\0\win32]
@="C:\\Programme\\WinSecureAv\\Tools\\pblock.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EA7522F6-87CF-411E-8A55-19EE4344B676}\1.0\HELPDIR]
@="C:\\Programme\\WinSecureAv\\Tools\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\ugac]
"DomainName"="http://winsecureav.com"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\blocked]
"\\DEVICE\\HARDDISKVOLUME1\\WINSECUREAV"=dword:00000000

[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="WinSecureAv"
"5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\WinSecureAv\\unins000.exe"="Setup/Uninstall"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.01.2008 20:43:19 for strings:
; 'virusranger'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp\log]
; Contents of value:
; ð85ÍŸTÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\
01

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp\log]
; Contents of value:
; ð85ÍŸTÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\
01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp\log]
; Contents of value:
; ð85ÍŸTÈ

"\\DEVICE\\HARDDISKVOLUME1\\PROGRAMME\\VIRUSRANGER"=hex:f0,38,35,cd,9f,54,c8,\
01

[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"2"="VirusRanger"
"5"="Online Add-on VirusProtect 3.9 WinSecureAv VirusRanger"

; End Of The Log...


das war's erstmal.

Wieder besten Dank von Steffen!!

#4 Steffmann

1.
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

suche einen Dienst, namens: dhlp

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "dhlp" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "dhlp" beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " dhlp" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

--------------------------------
«
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dhlp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dhlp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dhlp]
[-HKEY_CURRENT_USER\Software\Online Add-on]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{F2BADA0D-FD61-45EF-A994-64A073FD6613}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\ugac]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D761645B-6B20-4698-AEE8-729981152A82}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EA7522F6-87CF-411E-8A55-19EE4344B676}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CFAFA83C-855B-4E3D-92B9-A587995B675A}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusProtect 3.9]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{aaad3a22-1c07-45f5-bfb3-e9a8c3b382fe}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Custom Tools]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE Safety Features]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F2BADA0D-FD61-45EF-A994-64A073FD6613}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"start"=-

Driver::
dhlp.sys

File::
C:\WINDOWS\system32\fsehfcu.dll
C:\WINDOWS\system32\drivers\dhlp.sys

Folder::
C:\Programme\Online Add-on
C:\Programme\VirusProtect 3.9
C:\Programme\Gemeinsame Dateien\WinSecureAv
C:\Programme\WinSecureAv
C:\WinSecureAv
C:\Programme\VirusRanger
C:\Dokumente und Einstellungen\Familie Hofmann\Anwendungsdaten\WinSecureAv

CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


wende combofix noch mal an - tippe 1
poste den neuen Report

««
neue Startseite
gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen -- auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen -- Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

-----------
«
scanne mit smitfraudfix - kannst du im normalmodus machen
http://www.virus-protect.org/artikel/tools/smitfraudfix.html

dann sollte wieder alles sauber sein
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo!

Es wurde leider kein "dhlp-Dienst" angezeit...

Trotzdem hier das logfile von combofix



ComboFix 08-01-23.1 - Familie Hofmann 2008-01-23 21:53:55.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.23 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Familie Hofmann\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 ))))))))))))))))))))))))))))))
.

2008-01-17 20:37 . 2008-01-17 20:44 <DIR> d-------- C:\Programme\regsearch
2008-01-17 20:36 . 2008-01-17 20:36 340,591 --a------ C:\Programme\regsearch.zip
2008-01-17 20:14 . 2008-01-17 20:34 <DIR> d-------- C:\Programme\XP-Suche
2008-01-17 20:12 . 2008-01-17 20:12 637,509 --a------ C:\Programme\XP-Suche.zip
2008-01-15 22:59 . 2008-01-15 22:59 <DIR> d-------- C:\Programme\Avira
2008-01-15 22:54 . 2008-01-15 22:54 17,820,592 --a------ C:\Programme\antivir_workstation_win7u_de_h.exe
2008-01-15 21:58 . 2008-01-15 21:58 308 --a------ C:\Programme\datFind.zip
2008-01-15 21:55 . 2008-01-15 21:55 1,000 --a------ C:\Programme\datFind.bat
2008-01-15 21:49 . 2008-01-15 21:49 318,369 --a------ C:\Programme\HJT.zip
2008-01-15 21:36 . 2008-01-22 21:39 1,550,988 --a------ C:\Programme\ComboFix.exe
2008-01-15 21:36 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 21:34 . 2008-01-15 21:34 50,688 --a------ C:\Programme\ATF-Cleaner.exe
2008-01-15 21:17 . 2008-01-15 21:17 5,831,160 --a------ C:\Programme\rminstall.exe
2008-01-11 23:07 . 2008-01-11 23:17 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-11 22:30 . 2008-01-11 22:30 1,092 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-11 22:29 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-11 22:29 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-11 22:29 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-11 22:29 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-11 22:29 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-11 22:29 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-06 12:17 . 2008-01-06 12:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\iS3
2008-01-06 11:28 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-01-06 11:28 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-06 11:28 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-06 11:28 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-01-06 11:28 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-01-03 14:04 . 2008-01-18 19:03 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-03 13:47 . 2001-08-17 14:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2008-01-03 13:46 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-03 12:35 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\KODAK
2008-01-03 12:34 . 2008-01-03 12:35 <DIR> d-------- C:\Programme\CASIO
2007-12-28 20:13 . 2004-11-25 06:07 79,679 --a------ C:\WINDOWS\system32\E_FLMACE.DLL
2007-12-28 20:13 . 2003-05-21 03:27 64,000 --a------ C:\WINDOWS\system32\E_FBCBACE.DLL
2007-12-28 20:13 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-12-28 20:13 . 2000-06-07 02:01 34,304 --a------ C:\WINDOWS\system32\E_FBCHACE.DLL
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-12-28 20:13 . 2001-08-17 14:00 24,832 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-12-28 20:13 . 2001-08-17 13:53 13,824 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-12-28 20:11 . 2007-12-28 20:17 <DIR> d-------- C:\Programme\epson
2007-12-28 20:11 . 2005-02-25 00:00 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
2007-12-28 20:11 . 2005-02-25 00:00 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
2007-12-28 20:11 . 2005-02-25 00:00 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
2007-12-28 20:11 . 2007-12-28 20:11 27 --a------ C:\WINDOWS\CDE DX3800G.ini
2007-12-28 19:08 . 2007-12-28 19:09 <DIR> d--h-c--- C:\WINDOWS\$MSI30UninstallMSI30-KB884016$
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-12-28 17:36 . 2001-08-17 14:03 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-12-27 18:52 . 2007-12-27 18:52 66,904 --a------ C:\WINDOWS\system32\NULL
2007-12-27 18:51 . 2007-12-27 18:51 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2007-12-27 18:38 . 2007-12-27 18:40 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-12-27 18:36 . 2007-12-27 18:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-27 18:36 . 2007-03-06 18:42 430,080 --a------ C:\WINDOWS\system32\SIPPS_TAPI_Provider.tsp
2007-12-27 18:35 . 2005-02-01 11:25 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-12-27 18:33 . 2007-12-27 18:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-12-27 18:32 . 2007-12-27 18:33 <DIR> d-------- C:\Programme\T-Online
2007-12-27 18:32 . 2008-01-03 12:35 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-12-27 18:31 . 2007-12-27 18:31 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-27 18:31 . 2007-12-28 20:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-27 18:30 . 2007-12-27 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-12-27 18:25 . 2007-12-27 18:25 <DIR> d-------- C:\WINDOWS\Profiles
2007-12-27 18:25 . 2007-12-27 18:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-12-26 19:25 . 2007-12-26 19:25 400 --a------ C:\WINDOWS\ODBC.INI
2007-12-26 19:24 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-12-26 19:22 . 2007-12-26 19:22 <DIR> d-------- C:\Programme\Microsoft.NET
2007-12-26 19:20 . 2007-12-26 19:22 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-12-26 19:20 . 2007-12-26 19:20 <DIR> d-------- C:\Programme\Microsoft Works
2007-12-26 19:17 . 2007-12-26 19:17 <DIR> dr-h----- C:\MSOCache
2007-12-26 19:07 . 2007-12-26 19:07 <DIR> d-------- C:\NVIDIA
2007-12-26 19:04 . 2007-12-26 19:04 <DIR> d-------- C:\Programme\SystemRequirementsLab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 15:47 --------- d--h--w C:\Programme\Uninstall Information
2007-12-26 15:37 --------- d-----w C:\Programme\microsoft frontpage
2007-12-26 15:33 --------- d-----w C:\Programme\Online-Dienste
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-12-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-12-26 15:18 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-26 15:03 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
.

((((((((((((((((((((((((((((( snapshot@2008-01-15_21.40.29,33 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 20:36:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-22 20:41:48 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 20:36:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-22 20:41:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 20:36:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-22 20:41:49 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 20:36:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-22 20:41:49 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 20:36:50 1,122,304 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-22 20:41:50 1,470,464 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 20:36:50 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-22 20:41:50 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2007-08-09 12:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-01-15 22:12:19 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:30 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
- 2007-12-27 18:02:54 64,796 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-15 21:36:12 64,796 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2007-12-27 18:02:54 53,744 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-15 21:36:12 53,744 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-12-27 18:02:54 394,830 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-15 21:36:12 394,830 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2007-12-27 18:02:54 383,390 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-15 21:36:12 383,390 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryMechanic"="" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-15 23:12 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2008-01-03 12:34:37 217088]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 VIAPFD;VIAPFD;C:\WINDOWS\System32\Drivers\VIAPFD.SYS [2001-12-04 14:06]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 21:56:37
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...


Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-23 21:58:06
ComboFix-quarantined-files.txt 2008-01-23 20:57:54
ComboFix2.txt 2008-01-23 20:51:36
ComboFix3.txt 2008-01-15 20:41:00


hier noch das logfile vom smitfraud

SmitFraudFix v2.274

Scan done at 22:08:44,74, 23.01.2008
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Familie Hofmann


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Familie Hofmann\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\FAMILI~1\FAVORI~1

C:\DOKUME~1\FAMILI~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100+ Management Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Ich werde nun im abgesicherten Modus smitfraud abarbeiten...

Danke erstmal.

Gruß,
Steffen


smitfraud ist abgearbeitet:

SmitFraudFix v2.274

Scan done at 22:21:16,47, 23.01.2008
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\FAMILI~1\FAVORI~1\Online Security Test.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35DFDF59-6B3A-4BBE-82B0-67618FD4B88D}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Kann es sein, dass die Performance meines Rechners unter der Geschichte etwas gelitten hat?

Gruß,
Steffen

#6 Steffmann

««
wie steht es mit der performance ? Hohe Auslastung, wenn du surfst oder ein Programm anwendest ?

«
wende Comboscan an - poste die zwei Logs - main.txt + extra.txt
http://www.virus-protect.org/artikel/tools/comboscan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/